침해사고/위협동향

제2의 ATM 사건 데자뷔? 한국 POS 기기 노린 사이버위협 발견

최민지

[디지털데일리 최민지기자] 해킹 그룹이 금전 탈취를 위한 사이버위협을 전개하기 위해 한국의 POS(Point of Sales) 기기를 노리고 있는 것으로 나타났다. 지난 3월 북한발 ATM 기기 공격의 재현이 우려되는 대목이다.

최근 미국 보안업체 프루프포인트(proofpoint)는 해킹 그룹 라자루스의 파워라탕크바(PowerRatankba) 공격무기를 발견했으며, 이는 비트코인 관련 조직들의 관계자를 표적으로 하고 있다는 보고서를 발표했다. 특히, 이 보고서에서는 한국 POS 기기를 대상으로 한 라자루스의 ‘라탕크바POS(RatankbaPOS)’ 공격을 언급하고 있다. 라자루스는 북한으로 추정되는 해킹 그룹이다.

보고서는 “신용카드 데이터를 도용하기 위해 POS를 목표로, 국가를 타깃으로 한 사례를 처음 공유한다”며 “파워라탕크바와 밀접한 관련이 있는 악성코드”라고 말했다.

이어 “프루프포인트는 한국에서 운영되는 POS 단말기를 대상으로 데이터를 훔치기 위한 라자루스의 움직임을 찾았다”며 “전세계 소매업은 11~12월 사이 판매량이 가장 많은 만큼, 이 기간 POS는 공격자에게 인기있는 대상”이라고 설명했다.

해커들의 공격 양상이 수익을 얻기 위한 방향으로 쏠리고 있는 가운데, 북한 또한 외화벌이를 위해 비트코인·랜섬웨어·금융정보 유출 등에 적극적으로 나서고 있다.

지난 3월 국내 ATM을 해킹한 사건을 살펴보면, 백신 서버 취약점을 악용해 ATM 63대에 악성프로그램을 유포하고, 23만8073건의 카드·은행·개인정보를 훔쳐냈다. 당시 피해액은 약 1억264만원으로 조사됐다. 이와 관련 경찰은 북한 해커 소행으로 결론내고, 북한 해커로부터 금융정보를 넘겨받아 불법 사용한 한국인 3명과 중국동포를 검찰에 송치한 바 있다.

이번에 발견된 POS를 노리는 위협도 금전을 탈취하기 위한 목적이다. 카드결제 때 사용하는 POS 단말 내 데이터를 탈취해 금융정보를 유출시켜 악용할 수 있기 때문이다.

이 보고서는 “라탕크바POS는 한국 소프트웨어 벤더의 POS 프레임워크를 목표로 하고 있다”며 “이러한 위협이 주로 한국을 타깃하고 있다는 것에 강하게 확신하고 있다”고 설명했다.

이 보고서에 따르면 국내 보안기업인 S사의 POS 관련 소프트웨어 응용프로그램, 프레임워크, 장치를 대상으로 위협이 전개될 가능성이 제기된다.

한편, 국내 보안업체 또한 지난 13일 국내 POS 기기를 대상으로 한 공격을 탐지하고 조사에 나섰다. 이곳에서도 공격자를 북한 측 소행으로 보고 있다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널